가장 큰 API 보안 레드 플래그

API 보안 허점은 이제 흔하고 공개적입니다. AI 앱과 상호 연결된 생태계는 위험과 복잡성을 증가시키고 있습니다. 공격자가 API 엔드포인트를 공격 대상으로 삼은 것은 우연이 아닙니다.

기업은 API 기반 애플리케이션을 방어할 준비가 되었는지 확인하기 위해 API 보안 전략을 재평가해야 합니다. 하지만 어디서부터 시작해야 할까?

이 인포그래픽에서는 모든 조직이 알아야 할 상위 5가지 API 보안 위험 신호에 대해 자세히 알아보겠습니다. 이러한 징후를 더 잘 이해함으로써 기업은 주요 위험을 인식하고 이를 사전에 해결하여 API 보안에 대한 전체적인 접근 방식을 개선할 수 있습니다.

API 보안 레드 플래그에 대해 알아보려면 탭을 클릭하세요
모든 API가 어디에 있는지 모르죠
  • API 확산은 충격적일 정도로 만연합니다. Datos API 보안 솔루션 평가 가이드 에 따르면, 2030년까지 사용되는 API의 수는 20억 개를 넘어설 것이며, 기업들은 이미 평균 20,000개가 넘는 API를 사용하고 있습니다.
  • API 엔드포인트는 고유한 과제를 나타냅니다. F5의 2024년 애플리케이션 전략 보고서에 따르면 "개별 API는 수십 또는 수백 개의 엔드포인트를 가질 수 있습니다." 상황을 더욱 복잡하게 만드는 것은 조직이 자사 시스템과 접촉하는 모든 API를 완벽하게 제어할 수 없다는 것입니다.
  • Postman의 2023년 API 상태 보고서는 API 사용에 대한 다음과 같은 장애물을 확인했습니다.
    • 문서 부족(52%)
    • API 발견의 어려움(32%)
보안 표지판이 있는 세계
귀하의 조직의 공격 표면에 모호함이 있습니다.
  • Datos API 보안 솔루션 평가 가이드는 핵심 문제를 설명합니다. "API 공격 영역을 열거하는 것은 API 보안에 필수적입니다. CISO는 알려지지 않은 정보를 보호할 수 없습니다. API 검색은 섀도우, 고아, 버전 외, 오래된 API를 식별하는 데 필요합니다."
  • API는 모든 현대 비즈니스에 필수적입니다. Venture Beat 에서 설명한 대로 "API는 모든 웹 트래픽의 91%를 차지하며 마이크로서비스 아키텍처에 대한 추세와 빠르게 변화하는 시장 상황에 동적으로 대응해야 하는 필요성에 부합합니다."
  • API는 핵심적인 역할을 하기 때문에 사이버범죄자들의 주요 표적이 됩니다. 웹 기반 사이버 공격의 90%가 API 엔드포인트를 대상으로 하며, 손상된 API 출처 공격 기록 의 수는 10억 개를 넘었습니다.
디지털 정부 / 디지털 서비스
보안 스택이 너무 복잡합니다
  • 오늘날의 앱과 API는 하이브리드 멀티클라우드 환경으로 배포되고 있습니다. 2024년 애플리케이션 전략 보고서에 따르면, 조직의 약 90%가 SaaS, 퍼블릭 클라우드/IaaS, 온프레미스(기존), 온프레미스(프라이빗 클라우드), 콜로케이션, 엣지를 포함한 하이브리드 배포 모델로 운영하고 있습니다.
  • 같은 보고서 에 따르면 6가지 다른 모델을 운영하는 조직의 수가 2023년부터 2024년까지 약 20% 증가했습니다.
  • 대규모 기업(직원 10,000명 이상)의 66%는 일반적으로 60~80개의 보안 도구를 사용합니다. 이는 여러 클라우드 환경에서 특정 요구 사항을 해결하는 데 필요한 전담 도구 때문일 수 있습니다.
구름 삼각형
보안 자세를 유지하는 것이 너무 수동적입니다.
  • API와 엔드포인트가 너무 많아서 수동 보안 업데이트를 지속할 수 없습니다. API 보안을 자동화하면 수동 업데이트의 필요성을 획기적으로 줄일 수 있습니다. McGraw Hill 사례 연구 에서는 매월 1,800만 건에 달하는 API 요청을 관리하는 복잡성을 줄이기 위한 노력을 설명하고 있습니다.
  • 애플리케이션 전략 설문 조사 응답자들은 제로데이 공격에 대응할 때 수동 패치 및 업데이트만으로는 충분히 빠르지 않다고 보고했으며, 많은 의사 결정권자들은 성공적인 공격의 높은 비용 때문에 앱 및 API 보안 자동화가 필수적이라고 보고했습니다. 그러한 목표를 달성하기 위해 앱 및 API 자동화는 작년 대비 33%에서 43%로 증가했습니다. 공개되는 CVE의 수는 늘어나고 있으며, F5 Labs 연구원들은 2025년에는 일반적인 주에 500개의 새로운 CVE가 공개될 것으로 예상합니다 .
  • 생성적 AI 도입 증가는 앱과 API 보안에도 영향을 미칩니다. 보안 분야에서 생성적 AI를 가장 많이 활용하는 사례는 보안 정책을 자동으로 조정하고 감지된 위협에 따라 보안 구성을 생성하는 것입니다.
레거시 현대화
AI 앱 보안에 대해 걱정되시나요?
  • 생성 AI의 보안은 우수한 앱과 API 보안을 기반으로 시작됩니다. 이는 Google의 클라우드 개발자 옹호자 인 Mete Atamel이 간결하게 설명한 내용 입니다. "Gen AI를 어떻게 사용하든 결국에는 SDK나 라이브러리 또는 REST API를 통해 엔드포인트를 호출하게 됩니다."
  • OpenAI GPT Store가 출시된 지 2개월 만에 사용자들은 이미 300만 개가 넘는 ChatGPT 사용자 지정 버전을 만들었는데, 이는 타사 공급자의 보안과 관련된 보안 문제의 규모를 보여줍니다.
  • IDC는 "응답자의 66%가 GenAI와 광범위하게 공공 및 민간 AI 워크로드를 가장 중요한 사용 사례 중 하나로 지적했습니다."라고 보고합니다. 그들은 "대부분의 엔터프라이즈 AI 기반 애플리케이션은 구현 과정에서 고도로 분산되어 있으며, 다양한 퍼블릭 클라우드, 전문 클라우드, 온프레미스 인프라 및 애플리케이션 환경을 매우 가용성 있고 안전한 방식으로 통과해야 하는 수십에서 수백 개의 API 상호 작용이 필요하다"는 것을 발견했습니다. F5 연구원들은 또한 대부분 조직이 하이브리드 및 멀티클라우드 환경에 AI 앱을 배포할 것으로 예상하고 있으며, 애플리케이션 전략 상태 설문 조사 응답자는 퍼블릭 클라우드(80%)와 온프레미스(54%)에서 AI 앱을 유지할 것이라고 답했습니다.  
ID 및 액세스 관리

F5가 조직의 API 보안 에 대한 전체적인 접근 방식을 개선하는 데 어떻게 도움을 줄 수 있는지 알아보세요.